Komunikat ISOCERT z dnia 22.03.2023 dotyczący działań związanych z przejściem z normy PN-EN ISO/IEC 27001:2017 na normę ISO/IEC 27001:2022
ISOCERT informuje, że 25.10.2022 r opublikowane zostało nowe wydanie normy ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management system– Requirements.
Główne zmiany w ISO/IEC 27001:2022 w porównaniu z PN-EN ISO/IEC 27001:2017
- Zmieniono Załącznik A, który aktualnie odnosi się do zabezpieczeń informacji określonych w znowelizowanej normie ISO/IEC 27002:2022, która zawiera informacje o nazwach kategorii zabezpieczeń i samych zabezpieczeniach; w porównaniu z poprzednim wydaniem liczba zabezpieczeń uległa zmniejszeniu ze 114 zabezpieczeń pogrupowanych w 14 rozdziałach, do 93 zabezpieczeń w 4 rozdziałach. 11 zabezpieczeń stanowi nowe propozycje, 24 powstały w wyniku połączenia dotychczasowych zabezpieczeń, a 58 zabezpieczeń zostało zaktualizowanych.
- Do uwag w rozdziale 6.1.3 c) wprowadzono zmiany redakcyjne, w tym usunięto cele stosowania zabezpieczeń i użyto sformułowania „zabezpieczenie informacji” zamiast „zabezpieczenie”.
- Tekst rozdziału 6.1.3 d) został przeorganizowany w celu wyeliminowania potencjalnej niejednoznaczności.
- Dodano nowy punkt 4.2 c) dotyczący określenia tych wymagań stron zainteresowanych, które będą spełniane poprzez system zarządzania bezpieczeństwem informacji (ISMS).
- Dodano nowy podrozdział 6.3 – Planowanie zmian, stanowiący, że organizacja powinna przeprowadzać zmiany w ISMS w sposób zaplanowany.
- Zachowano spójność w zakresie czasownika używanego w powiązaniu z wyrażeniem „udokumentowane informacje”, np. w rozdziałach 9.1, 9.2.2, 9.3.3 i 10.2 użyto sformułowania „Powinny być dostępne udokumentowane informacje jako dowód XXX”.
- W rozdziale 8 użyto sformułowania „dostarczane z zewnątrz procesy, wyroby i usługi” zamiast „pod zlecane procesy” i usunięto termin „pod zlecanie”.
- Nadano tytuły podrozdziałom w rozdziałach 9.2 – Audit wewnętrzny i 9.3 – Przegląd zarządzania oraz zmieniono ich kolejność.
- Zmieniono kolejność dwóch podrozdziałów w rozdziale 10 – Doskonalenie.
- Zaktualizowano wydania dokumentów związanych wymienionych w Bibliografii, takich jak ISO/IEC 27002 i ISO 31000.
Zasady postępowania w okresie przejścia z PN-EN ISO/IEC 27001:2017 na ISO/IEC 27001:2022
ISOCERT jako akredytowana jednostka certyfikująca opracowała zasady postępowania w trzyletnim okresie przejścia w oparciu o dokument IAF MD 26:2023 – Wymagania dotyczące przejścia na normę ISO/IEC 27001:2022:
Od 31.10.2022 obowiązuje trzyletni okres przejściowy wdrożenia i certyfikacji wymagań ISO/IEC 27001:2022. Z dniem 31.10.2025 wszystkie certyfikaty wydane na zgodność z normą PN-EN ISO/IEC 27001:2017 stracą ważność.
ISOCERT będzie prowadzić procesy początkowej certyfikacji / ponownej certyfikacji na zgodność z normą PN-EN ISO/IEC 27001:2017 do 29.04.2024 r.
Od dnia 30.04.2024 r procesy początkowej certyfikacji / ponownej certyfikacji prowadzone będą wyłącznie na zgodność z normą ISO/IEC 27001:2022.
W okresie przejściowym ISOCERT będzie prowadzić dla Klientów posiadających certyfikację na PN-EN ISO/IEC 27001:2017 audity przejścia na ISO/IEC 27001:2022 w ramach połączenia z planowanymi auditami ponownej certyfikacji lub auditami w nadzorze. Niezależenie istnieje możliwość przejścia na ISO/IEC 27001:2022 również w ramach auditu specjalnego.
Zgodnie z wymaganiami dotyczącymi przejścia na ISO/IEC 27001:2022 opisanymi w dokumencie IAF MD 26:2023, na działania związane z auditem przejścia doliczony zostanie dodatkowy czas:
- co najmniej 0,5 auditoro-dnia na audit przejścia, w przypadku gdy jest on przeprowadzany w połączeniu z auditem ponownej certyfikacji
- co najmniej 1,0 auditoro-dzień na audit przejścia, w przypadku gdy jest on przeprowadzany w połączeniu z auditem w nadzorze lub jako oddzielny audit.
W oparciu o wyniki auditu przejścia zostanie podjęta decyzja w sprawie przejścia ISO/IEC 27001:2022 i zostanie zaktualizowany certyfikat Organizacji, data zakończenia bieżącego cyklu certyfikacji nie ulegnie zmianie.
Zakres auditu przejścia będzie obejmował między innymi:
- analizę luk dotyczącą ISO/IEC 27001:2022, a także potrzebę zmian w SZBI klienta;
- aktualizację deklaracji stosowania (SoA);
- aktualizację planu postępowania z ryzykiem;
- ocenę wdrożenia i skuteczność nowych lub zmienionych zabezpieczeń informacji wybranych przez klienta.
Gotowość ISOCERT do prowadzenia auditów na zgodność z ISO/IEC 27001:2022
ISOCERT jako jednostka certyfikująca systemy zarządzania, jest na etapie uaktualniania zakresu akredytacji do prowadzenia procesów certyfikacji według wymagań ISO/IEC 27001:2022. Po uaktualnieniu zakresu akredytacji będzie mogła wydawać akredytowane certyfikaty na zgodność z nową normą. Wniosek o aktualizację akredytacji został złożony w Polskim Centrum Akredytacji.
Będziemy na bieżąco informowali Państwa o wszystkich istotnych informacjach.
Szkolenia w zakresie ISO/IEC 27001:2022
ISOCERT przygotowało ofertę szkoleniową obejmującą zakres związany z ISO/IEC 27001:2022.
Szczegóły znajdują się na naszej stronie internetowej: https://www.isocert.org.pl/szkolenia/informacje-o-szkoleniach
Tomasz Wycisk
Dyrektor ds. certyfikacji